СРД «КРИПТОН-Щит»

srdlogoАппаратно-программная система защиты информации СРД «КРИПТОН-Щит» предназначена для обеспечения защиты информации от несанкционированного доступа (НСД) в автоматизированных информационных системах (АИС) на базе автономных средств вычислительной техники.

Система «КРИПТОН-Щит» соответствует всем требованиям руководящих документов Гостехкомиссии (ФСТЭК) по уровню защиты гостайны – реализуя мандатный принцип разграничения доступа по набору иерархических и неиерархических категорий и используя полную матрицу доступа «пользователи-процессы-ресурсы».

Система «КРИПТОН-Щит» работает на уровне микроядра операционной системы (MS Windows NT, 2000, XP32/64, 2003 32/64, Vista 32), независимо от встроенных в ОС средств контроля доступа, и отличается низкими системными требованиями. КРИПТОН-ЩИТ не изменяет системный файлы Windows.

Возможности системы защиты «КРИПТОН-Щит»:

  • Идентификация и аутентификация пользователей.

    Реализована единая и одноразовая идентификация и аутентификация для пользователя АИС, с формированием профиля прав доступа.

  • Контроль доступа к ресурсам компьютера

    — контроль целостности операционной среды методом контрольного суммирования;
    — мандатный и дискреционный принцип разграничения доступа к ресурсам ОС;
    — интегрированная настройка и описание пользователей, прав доступа пользователей к ресурсам;
    — автоматическая блокировка доступа к ресурсам персонального компьютера во время отсутствия пользователя (период неактивности пользователя, характеризующийся отсутствием работы с клавишами клавиатуры и мыши);
    — возможность трассировки обращений к ресурсам программного обеспечения в специальном отладочном режиме.

  • Разграничение доступа к процедурам (программам)

    — обеспечение единого интерфейса пользователя для работы с процедурами (программами), одновременно выполняющего разграничение доступа к процедурам для каждой категории пользователя;
    — ролевая модель разграничения доступа к процедурам (программам);
    — поддержка многошаговых процедур с возможностью наследования полномочий и без него.

  • Интеграция с аппаратными средствами защиты

    Изделие М-526, М-526А, М-526Б (АПМДЗ «КРИПТОН-Замок»), изделия М-524, М-525(«КРИПТОН-AncNet»), шифраторами дисков изделием М-544 («КРИПТОН-IDE»), изделием М-575(«КРИПТОН-SATA»), USB-шифратором изделием М-591 («КРИПТОН-USB»), изделием М-623(«КРИПТОН-ИНТЕГРАЛ»), а также абонентскими шифраторами серии «КРИПТОН»позволяет СРД «КРИПТОН-Щит» существенно повышать уровень защиты за счет дополнительных криптографических возможностей.

  • Разграничение и контроль доступа к периферийным устройствам

    Дополнительное разграничение доступа к USB-устройствам, регистрация данных при печати файлов на принтере.

  • Гибкая система протоколирования и аудит событий в системе защиты информации

    Поддержка двух журналов аудита пользователя – учета событий и обращений к ресурсам. Кроме того, ведется журнал печати.

  • Автоматизированные средства построения профилей (белый список)
  • Контроль отладочных регистров
  • Динамический контроль целостности
  • Гарантированная очистка оперативной памяти

Система защиты на базе «КРИПТОН-Щит» должна строиться на основе комплексного подхода и включать организационные меры и технические средства. Под техническими средствами защиты понимается совокупность аппаратных и программных средств, реализующих в информационных системах функцию защиты информации от НСД.

В состав системы защиты «КРИПТОН-Щит» входят:

  • Подсистема контроля целостности эталонного программного обеспечения, интегрированная с аппаратными средствами (КРИПТОН-ЗАМОК/У).
  • Подсистема идентификации и аутентификации пользователей, интегрированная с аппаратными средствами (КРИПТОН-ЗАМОК/У).
  • Подсистема разграничения доступа к процедурам (диспетчер меню), реализующая ролевую модель, и терминалам.
  • Подсистема разграничения доступа к ресурсам ОС, реализующая дискреционный и мандатный принцип доступа.
  • Подсистема управления, реализующая контроль исполнения процессов (процедур) в системе.
  • Подсистема протоколирования работы пользователя и фиксации событий несанкционированного доступа в специальном журнале учета.
  • Средства администратора защиты и программиста сопровождения по настройке прав доступа пользователей к процедурам и ресурсам системы и другие служебные утилиты.
  • Средства получения справок о событиях и попытках НСД в системе.
  • Программа реализации паузы неактивности, обеспечивающая блокировку персонального компьютера во время отсутствия пользователя.

Функции подсистем:

  • Аппаратные средства защиты:

    — идентификация и аутентификация пользователя;
    — проверка целостности файловой системы;
    — предотвращение загрузки ОС с альтернативных носителей;
    — контроль конфигурации компьютера.

  • Подсистема идентификации и аутентификации:

    — продолжение идентификации и аутентификации (определение статуса пользователя);
    — формирование профиля прав доступа пользователя;
    — подключение к ресурсам ОС;
    — дополнительная аутентификация при выходе из сеанса.

  • Подсистема разграничения доступа к ресурсам ОС:

    — дискреционный принцип разграничения доступа;
    — мандатный принцип разграничения доступа;
    — наследование прав доступа; контроль доступа на уровне процессов ОС.

  • Блок разграничения доступа к USB-устройствам:

    — идентификация USB-устройств;
    — разграничение доступа.

  • Диспетчер меню:

    — разграничение доступа к процессам (процедурам);
    — создание для пользователя списка доступных процедур;
    — управление работой пользователя в сеансе.

  • Подсистема аудита:

    — фиксация событий НСД;
    — фиксация информационных событий;
    — фиксация событий настройки полномочий;
    — средства ведения и просмотра журнала;
    — фиксация обращений к ресурсам ОС в зависимости от настройки.

  • Режим паузы неактивности:

    — блокировка компьютера и гашение экрана по истечении заданного интервала времени при отсутствии признаков активности пользователя;
    — восстановление сеанса пользователя после введения пароля.

  • Блок регистрации печати:

    — регистрация документов, выдаваемых на принтер через спулер;
    — фиксация реквизитов выдаваемый документов (размер, дата, время, пользователь и т.д.).

  • Служебные процедуры и вспомогательные утилиты:

    — настройка БД полномочий (заведение объектов и субъектов защиты, прав доступа и т.д.);
    — настройка прав доступа для системных задач;
    — разблокировка пользователей;
    — генерация паролей пользователей в ОС;
    — просмотр журнала обращений к ресурсам ОС в отладочном режиме;
    — определение идентификационных данных подключаемых USB-устройств;
    — просмотр текущего профиля пользователя во внутреннем формате;
    — автоматическое формирование прав доступа к процессу при специальном запуске.

  • Управление сеансом пользователя:

    — контроль за запуском и завершением процессов в ОС;
    — управление процессом загрузки и выгрузки сеанса пользователя (непрерывность загрузки);
    — управление взаимодействием с АПМДЗ.